至少从 2022 年 7 月开始,一种前所未见的复杂恶意软件以企业级路由器为目标,秘密监视拉丁美洲、欧洲和北美的受害者。
这个难以捉摸的活动被 Lumen Black Lotus Labs 称为Hiatus,已被发现部署了两个恶意二进制文件,一个称为 HiatusRAT 的远程访问木马和一个tcpdump 的变体,它可以在目标设备上捕获数据包。
“一旦目标系统被感染,HiatusRAT 允许威胁行为者与系统进行远程交互,它利用预构建的功能 [ ... ]与黑客新闻分享的报告。
“数据包捕获二进制文件使攻击者能够监控与电子邮件和文件传输通信相关的端口上的路由器流量。”
威胁集群主要挑出报废 (EoL) DrayTek Vigor 路由器型号 2960 和 3900,截至 2023 年 2 月中旬,大约有 100 台暴露在互联网上的设备受到威胁。一些受影响的垂直行业包括制药、IT 服务/咨询公司和市政府等。
有趣的是,这仅占可通过互联网公开访问的 4,100 个 DrayTek 2960 和 3900 路由器的一小部分,这增加了“威胁行为者故意保持最小足迹以限制其曝光率”的可能性。
鉴于受影响的设备是可以同时支持数百个 VPN 连接的高带宽路由器,因此怀疑其目标是监视目标并建立隐秘的代理网络。
Lumen Black Lotus Labs 威胁情报主管 Mark Dehus 表示:“这些设备通常位于传统安全边界之外,这意味着它们通常不会受到监控或更新。” “这有助于演员在不被发现的情况下建立和保持长期的持久性。”
攻击中使用的确切初始访问向量是未知的,但成功破坏之后会部署一个 bash 脚本,该脚本下载并执行 HiatusRAT 和一个数据包捕获二进制文件。
HiatusRAT 功能丰富,可以收集路由器信息、正在运行的进程,并联系远程服务器以获取文件或运行任意命令。它还能够通过路由器代理命令和控制 (C2) 流量。
研究人员表示,使用受损路由器作为代理基础设施可能是为了混淆 C2 操作。
在 Lumen Black Lotus Labs 还揭示了一个不相关的以路由器为中心的恶意软件活动之后的六个多月,该发现使用了一种名为ZuoRAT的新型木马。
Dehus 说:“Hiatus 的发现证实了攻击者正在继续对路由器进行利用。” “这些活动表明需要保护路由器生态系统,应该定期监控、重启和更新路由器,同时更换报废设备。”
